セキュリティホール memo Choosing a smart password(Gmail blog, 10/6)。ちょっと訳してみた。 問題1: 複数の web サイトでパスワードを使いまわしてしまう
回答1: 個別のパスワードを使え

問題2: ありがちなパスワードや、辞書に載っている単語を使ってしまう
回答2: 文字、数字、記号が混じったパスワードを使え

問題3: 個人情報に基づいたパスワードをつくってしまう
回答3: 他人に推測されにくパスワードをつくれ

問題4: パスワードを書き出して、安全ではない場所に保管してしまう
回答4: パスワード備忘録は、簡単には見つけられない秘密の場所に隠せ

問題5: パスワードの回復について
回答5: パスワード回復オプションが最新かつセキュアであることを確認しろ でも、記号を許さないサイトって多いよねえ。
本当に、アサブロとかアサブロとかアサブロはなんとかなりませんかねぇ。


うちはセキュリティ関連サイトではありませんので、なにか特筆することがないとスルーしてるのですけれど
Windows Live Hotmailのアカウント情報が大量に流出 - Computerworld.jp
Gmailにフィッシング攻撃、一部のアカウントのパスワードが流出 - Computerworld.jp
などフィッシング詐欺で盗まれたと思われるパスワードが大量に流出してるのが発覚した（ややこしい）件で

大半のユーザーが安易なパスワードを利用、流出情報を分析 - ITmedia 全体の42％が「a〜z」までのアルファベットのみでパスワードを構成していた。「0〜9」までの数字しか使っていないパスワードも19％に上った。アルファベットと数字を組み合わせたパスワードは30％を占めたが、大文字と小文字の組み合わせは3％のみ、アルファベットと数字に加えて「$%@」などの記号を組み合わせていたのは6％のみだった。 それが問題だというなら、パスワードに記号が使えないアサブロのようなサイトを運営している会社から批判するべきでは？
更に言えば、パスワードに記号が含まれていないとパスワードとして認めない仕組みを運営に要求するべきでは？

そもそも今回はパスワードクラックではなくフィッシング詐欺だと言われてるので、安易なパスワードがどうとかいう問題じゃないと思うのですよ。

なにより本質からかけ離れたこのニュースに何の価値があるのかと小一時間（ry。

元ネタが同じ（と思うのだけど）でも
フィッシング詐欺のデータ流出：脆弱なパスワードが多いことが明らかに - ZDNet Japan 　オンラインでの総当たり攻撃に対して、パスワードの長さと複雑さは重要な問題になるのだろうか。これは場合による。もしエンドユーザーが正規のサイトを閲覧しているのだと信じていれば、フィッシングによって15文字のパスワードでも簡単に盗まれてしまうし、さらに悪いことにエンドユーザーがマルウェアに感染してしまえば、サイバー犯罪者はそもそもフィッシング詐欺キャンペーンを行う必要さえない。防ぐべきなのは、彼らが1つのパスワードに頼っているユーザーに対してフィッシング詐欺をすることで、使われているすべてのサービスへのアクセスを許してしまうことだ。 ずいぶんイメージが違います。
もちろん123456なんてパスワードは論外ですけどね。
つうか、そんなパスワードはシステムで弾けよ！

ってことで冒頭の通りパスワードの作り方と管理は十分注意を払いましょうってことで。